Download - Metodología Auditoría de Sistemas
AUDITORÍA DE SISTEMAS DE INFORMACIÓN
METODOLOGÍAS DE
AUDITORÍA DE SISTEMAS
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
METODOLOGIA TRADICIONAL: CUESTIONARIO
El auditor revisa los controles con la ayuda de una lista de control que consta de una serie de preguntas o cuestiones a verificar
La evaluación consiste en identificar la existencia de
unos controles establecidos o estandarizados
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
El auditor realiza una evaluación del RIESGO POTENCIAL EXISTENTE Como consecuencia de la ausencia de controles o bien por ser un sistema deficiente, estos riesgos deben ser
cuantificados y valorados
de tal forma que permita determinar el nivel de fiabilidad que brinda el sistema
sobre la exactitud, integridad y procesamiento de la información
METODOLOGIA basada en la EVALUACIÓN de RIESGOS
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
ELEMENTOS PRINCIPALES
OBJETIVOS de CONTROL
EVALUACIÓN de RIESGOS
TECNICAS de CONTROL
PRUEBAS INDEPENDIENTES
CONCLUSIONES SUSTENTADAS
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
OBJETIVO de CONTROL
El objetivo de todo control es la REDUCCIÓN del
RIESGO
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
(Políticas y Procedimientos)
Por cada objetivo de control/riesgo
potencial se deben identificar las
técnicas de control existentes que deben minimizar el riesgo,
logrando cumplir así, el objetivo de control
TECNICAS de CONTROL
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
ENTORNO GENERAL de CONTROL
CONTROLES en determinadas APLICACIONES
Procesos de negocio automatizados
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
CONTROLES de APLICACIÓN
ENTRADA PROCESO
SALIDA
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
CONTROLES PREVENTIVOS
CONTROLES DETECTIVOS
CONTROLES CORRECTIVOS
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
PRUEBAS
Permiten obtener evidencia y
verificar la consistencia de los controles existentes y
también medir el riesgo por deficiencia de estos o por su
ausencia
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
PRUEBAS
de CUMPLIMIENTO
SUSTANTIVAS
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
TÉCNICAS GENERALES1.ENTREVISTAS
2.REVISIONES de DOCUMENTOS
3.EVALUACION de RIESGOS y CONTROLES
4.MUESTREO ESTADISTICO
5.VERIFICACIONES de CALCULOS
6.PRUEBAS de CUMPLIMIENTO y SUSTANTIVAS
7.HERRAMIENTAS de AUDITORIA y SOFTWARE ESPECIFICO
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Son productos de software que permiten al auditor
OBTENER INFORMACIÓN de los sistemas automatizados como evidencias de las pruebas
que diseñen
TÉCNICAS ESPECÍFICAS
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
HERRAMIENTAS PROPIAS del AUDITOR y bajo su CONTROL
1.Software de auditoría o de revisión de productos determinados o plataformas
Permiten obtener una diagnosis de la situación de parámetros y otros aspectos y
su relación con respecto a la seguridad y protección del software y de la información
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
2.Software de auditoría que permiten extraer información para su revisión, comparación, etc.
Estos productos utilizados habitualmente por los auditores operativos o financieros,
permiten extraer datos concretos o en base a muestras estadísticas
HERRAMIENTAS PROPIAS del AUDITOR y bajo su CONTROL
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
UTILIDADES del SOFTWARE o PLATAFORMA a auditar, bajo el CONTROL
de la INSTALACIÓN AUDITADA
Utilidades provistas por el software auditado: revisión de registros lógicos de actividades, edición de parámetros, etc.
Productos específicos de rendimiento, control, calidad instalados en la plataforma
a auditar: lenguajes de interrogación, software de librerías, depuradores de
software, etc.
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
SECUENCIA del PROCESO
de una AUDITORÍA de de una AUDITORÍA de SISTEMAS de SISTEMAS de INFORMACIÓNINFORMACIÓN
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
IDENTIFICACIÓN y EVALUACIÓN de RIESGOS POTENCIALES
OBJETIVO de la AUDITORÍA
DEFINICION del ALCANCE
RECURSOS y TIEMPO
RECOPILACION de INFORMACIÓN BÁSICA
I
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
REALIZACION de PRUEBAS y OBTENCIÓN de RESULTADOS
PROGRAMA de AUDITORÍA
IDENTIFICACION de ÁREAS CRÍTICAS y CONTROLES FUERTES
PRUEBAS y TÉCNICAS a UTILIZAR
II
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
INFORME
EVALUACIÓN de RESULTADOS y CONCLUSIONES
CONSIDERACIÓN de OTROS CONTROLES COMPENSATORIOS o
PRUEBAS ADICIONALES
REVISIÓN y CIERRE de PAPELES de TRABAJO
III
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
EVIDENCIAS, RESULTADOS y CONCLUSIONES
Los resultados de cada prueba deben VALORARSE, obtener UNA CONCLUSIÓN, siempre teniendo en cuenta los OBJETIVOS y el ALCANCE de la auditoría
EVIDENCIAS:PERTINENTES y SUFICIENTES
FEHACIENTES
VERIFICACIÓN de resultados
INTERRELACIÓN con otros resultados
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Las conclusiones obtenidas deben comentarse y discutirse con los responsables directos del área afectada
POR EJEMPLO:
Puede haber limitaciones de recursos, en la realización de pruebas, en la
disponibilidad de la evidencia.........Puede haber controles alternativos que
el auditor no haya detectado..............
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Deben incluir
DESCRIPCION de la situaciónRIESGO existente,DEFICIENCIA a solucionarsi corresponde, SUGERENCIA
de solución
CUANTIFICACIÓN del riesgo
CONEXIÓN con objetivo y otras deficiencias
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
PAPELES de TRABAJO de la Auditoría de SI
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Se deben realizar de ACUERDO aNORMAS de AUDITORÍA, y deben reflejar
METODOLOGÍA utilizadaCOBERTURA del OBJETIVO de
auditoríaPRUEBAS realizadas y
CRITERIOS utilizados
RESULTADOS de las pruebas
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
LIMITACIONES en las tareas realizadas
DEFICIENCIAS en pruebas realizadas que puedan requerir alguna EXTENSIÓN ESPECIAL de la revisión y
FALTA de CONSISTENCIA o claridad en las conclusiones
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Es necesario elaborar CONCLUSIONES GENERALES en base a los resultados obtenidos
Todo informe incluirá: ALCANCE y OBJETIVO de la auditoría, METODOLOGÍA UTILIZADA, POSIBLES LIMITACIONES yCONCLUSIONES
Es recomendable obtener junto con la presentación del borrador, una contestación o
confirmación del área auditada /cliente /organización
INFORME
METODOLOGÍAS AUDITORÍA DE SISTEMAS DE INFORMACIÓN
Reglas en la preparación de Informes
• el vocabulario debe ser preciso,objetivo, cuidadoso, respetuoso,...
• NO incluir juicios de valor, nombres propios, abreviaturas o iniciales de productos, ......
y • frases con contenido y breves......